روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ دامنه‌ی شیوع ویروس کرونا -که ریشه‌اش در استانِ ووهانِ چین بوده است- گسترده و گسترده‌تر می‌شود و همین باعث شده ترسی همگانی به جان کشورهای سراسر جهان بیافتد. و خوب می‌دانید وقتی که چنین بحران‌هایی رخ می‌دهد -خصوصاً بحران سلامتی- مجرمان، این فرصت طلایی را از دست نخواهند داد. بر اساس تله‌متری دو شرکت IBM و کسپرسکی، این اواخر سیلی از ایمیل‌های آلودهِ بات‌نتی دارند از ویروس کرونا به عنوان تله استفاده می‌کنند. در کمپین رؤیت‌شده توسط IBM X-Force ادعا می‌شد این ایمیل‌ها در ضمیمه‌ی خود، اعلان‌هایی در خصوص اقدامات پیشگیری از ابتلا به ویروس کرونا دارند. جالب اینکه ویروسی به بهانه‌ی توزیع ویروسی دیگر استفاده ‌شده است. نام این ویروس، تروجان بدنامِ Emotet است.

به گفته‌ی محققین، بیشترِ ایمیل‌ها به زبان ژاپنی نوشته شده بودند و این نشان می‌دهد اپراتورها تعمداً مناطق جغرافیایی‌ای را مورد هدف قرار دادند که با توجه به قرار گرفتنشان در قاره‌ی آسیا بیشتر از سایر مناطق تحت تأثیرِ بحران کرونا قرار داشتند. بخش subject این ایمیل‌ها حاویِ تاریخ فعلی و معادل لغت «نوتیفیکیشن» به زبان ژاپنی بود (تا حس اضطرار در کاربران افزایش پیدا کند).

به نقل از نوشته‌ای از سوی تیم IBM X-Force که همین اواخر منتشر شد، «این ایمیل‌ها ظاهراً توسط سرویس ارائه‌دهنده‌ی امکانات رفاهی برای معلولین در ژاپن ارسال می‌شده است. در این متن به طور خلاصه گفته می‌شود که گزارشاتی مبنی بر بیماران مبتلا به کرونا در استان گیفوی ژاپن وجود دارد و همچنین از خواننده درخواست می‌شود داکیومنت ضمیمه‌شده را مشاهده نماید».

نسخه‌های دیگر همه به یک زبانند اما هشدارهای پیرامون گزارشات ابتلاشان بین استان‌های مختلف ژاپن پخش می‌شود (شامل اوساکا و توتوری). این ایمیل‌ها همچنین فوتری با آدرس قانونی میلینگ به همراه شماره تلفن و شماره فکس دارند (که مربوط به مرجع بهداشت عمومی برای استان‌های مورد هدف می‌شود).

این شرکت گفت، «قبلاً ایمیل‌های ژاپنیِ Emotet تمرکزشان روی فاکتورها و نوتیفیکیشن‌های خرید سازمانی با استراتژی مشابه بود که آن زمان قربانیان، اروپایی بودند. این رویکرد جدیدِ ارسال Emotet به دلیل بهانه کرد ویروس کرونا حتماً موفق‌تر عمل خواهد کرد و قربانیان به مراتب بیشتری را خواهد گرفت».

به گفته‌ی محققین، جدا از طعمه‌ی استفاده‌شده، کمپین مذکور کمپین بسیار معمولی‌ای است. داکیومنتِ پیوست وقتی باز شد، پیامی به فرمت آفیس 365 بالا آمد که از کاربر خواهش کرده بود اگر داکیومنت در دیدِ محافظت شده (protected view) باز شده است گزینه‌ی فعالسازی محتوا (enable content) را فعال کند. درست مانند بیشتر حملات ایمیل‌محورِ Emotet، اگر این پیوست با ماکروهای فعال‌شده باز شود، ماکرو اسکریپتِ VBA مبهم‌سازی‌شده، پاورشل را باز کرده و در پس‌زمینه دانلودر Emotet را نصب می‌کند. یکی از تحلیلگران IBM X-Force چنین می‌گوید: «ماکروهای استخراج‌شده درست مانند سایر ایمیل‌های Emotet مشاهده‌شده در چند هفته‌ی اخیر از روش مبهم‌سازی یکسانی دارد استفاده می‌کنند».

فقط Emotet نیست که از آب گل‌آلود دارد ماهی می‌گیرد. کسپرسکی نیز شاهد چندین کمپین اسپم بوده است که در همین چند هفته‌ی اخیر سر و کله‌شان پیدا شده است. این کمپین‌ها حاوی دامنه‌ای از پیوست‌ها با موضوع ویروس کرونا بوده‌اند. محققین در طی تحلیلی دریافتند، «فایل‌های آلوده‌ی کشف‌شده خودشان را زیر پوشش فایل‌های فرمت PDF، MP4 و DOC (در خصوص ویروس کرونا) مخفی کرده بودند. از نام این فایل‌ها می‌شد فهمید شامل دستورالعمل‌های ویدیویی برای پیشگیری از ابتلا به ویروس کرونا، آپدیت‌هایی در مورد این تهدید و حتی روندهای شناسایی ویروس مذکور می‌شود که در اصل هیچیک از اینها حقیقت نداشت».

این فایل‌ها حاوی گروهی تهدید از جمله تروجان‌ها و کرم‌ها هستندکه قادر به تخریب، بلاک و دستکاری یا کپی کردنِ اطلاعات می‌باشند. آن‌ها می‌توانند در عملکرد کامپیوترها یا شبکه‌ها اختلال ایجاد کرده روندشان را قطع کنند. تا کنون 10 داکیومنت مختلف دست به دست شده است.

با توجه به اینکه تعداد موارد ویروس کرونا شوربختانه از شیوع سارس در سال 2003 هم بیشتر است (تا همین زمان نوشتن مقاله 8200 مورد تأیید شده است)، این بیماری احتمالاً جولانگاه خودبی برای مجرمان باقی خواهد ماند. آنتون ایوانف، تحلیلگر بدافزارِ کسپرسکی در گزارشی چنین نوشت: «همینطور که مردم بیشتر نگران سلامتی‌شان می‌شوند، تعداد بدافزارهای مخفی‌شده در داکیومنت‌های تقلبی هم (با موضوع شیوع هر چه بیشتر این ویروس) بیشتر و بیشتر خواهد شد». IBM X-Force نیز هشدار داد که اپراتورهای Emotet امکان دارد بزودی دامنه‌ی هدف‌های خود را به خارج از مرز ژاپن توسعه دهد.

محققین چنین می‌گویند: «انتظار می‌رود با توجه به شیوع فزاینده‌ی ویروس کرونا، در آینده شاهد ترافیک ایمیل‌های آلوده (در رابطه با همین ویروس) باشیم. این شاید بسته به تأثیر اپیدمی کرونا روی بومی‌زبان‌ها شامل زبان‌های دیگر هم بشود. در چنین نمونه‌های اولیه، قربانیان ژاپنی ممکن است به دلیل مجاورتشان با چین مورد هدف قرر گرفته باشند. متأسفانه، این کاملاً بین عاملین تهدید مرسوم است که از عواطف و هیجانات انسانی سوءاستفاده کنند- خصوصاً اگر رویدادی به طور جهانی مردم را درگیر کند (مثل ویروس کرونا)».